डेटा ट्रांसफर संघर्ष
ग्राहक समर्थन टीमें ChatGPT का उपयोग करके प्रतिक्रियाएं तैयार करने में एक संरचनात्मक GDPR अनुपालन संघर्ष का सामना कर रही हैं। ग्राहक व्यक्तिगत डेटा - नाम, ऑर्डर आईडी, पते, शिकायत विवरण - को ChatGPT के माध्यम से संसाधित करना उस डेटा को OpenAI के सर्वरों में भेजने का मतलब है, जो संयुक्त राज्य अमेरिका में स्थित हैं। GDPR अनुच्छेद 46 के तहत, तीसरे देश में व्यक्तिगत डेटा का स्थानांतरण उचित सुरक्षा उपायों की आवश्यकता होती है: या तो एक उपयुक्तता निर्णय, मानक संविदात्मक धाराएं, या बाध्यकारी कॉर्पोरेट नियम।
OpenAI ने ChatGPT Enterprise और API प्रस्तावों के माध्यम से उद्यम ग्राहकों के लिए मानक संविदात्मक धाराएं प्रकाशित की हैं। हालाँकि, कई ग्राहक समर्थन टीमें उपभोक्ता खातों के माध्यम से मानक ChatGPT इंटरफ़ेस का उपयोग करती हैं - ऐसे खाते जो उद्यम समझौतों की GDPR संविदात्मक सुरक्षा नहीं रखते हैं। 2024 के EU ऑडिट में पाया गया कि 63% ChatGPT उपयोगकर्ता डेटा उन खातों के माध्यम से आया जो उद्यम उपयोगकर्ताओं के लिए उपलब्ध डेटा सुरक्षा सेटिंग्स में शामिल नहीं हुए थे।
इटली के गारंटे की नियामक कार्रवाई प्रवर्तन की दिशा को स्पष्ट करती है। दिसंबर 2024 में, गारंटे ने इटालियन उपयोगकर्ताओं के व्यक्तिगत डेटा के अवैध प्रसंस्करण के लिए OpenAI पर €15 मिलियन का जुर्माना लगाया - विशेष रूप से डेटा को उचित कानूनी आधार के बिना और डेटा विषय के अधिकारों की बाध्यताओं को पूरा किए बिना संसाधित करने के लिए। इस जुर्माने से पहले 2023 में इटली में ChatGPT पर अस्थायी प्रतिबंध और डेटा हैंडलिंग प्रथाओं के बारे में व्यापक बातचीत हुई थी। जुर्माने के समय 63% इटालियन कंपनियों के पास GDPR-अनुपालन AI उपयोग नीतियां नहीं थीं।
JIT अनामिकरण समाधान
जस्ट-इन-टाइम (JIT) अनामिकरण डेटा ट्रांसफर संघर्ष को इस प्रकार हल करता है कि व्यक्तिगत डेटा कभी भी ChatGPT के सर्वरों तक नहीं पहुंचता। अनामिकरण उस क्षण होता है जब प्रॉम्प्ट सबमिट किया जाता है - उपयोगकर्ता के पेस्ट इवेंट और OpenAI के लिए नेटवर्क ट्रांसमिशन के बीच।
Chrome एक्सटेंशन की इंटरसेप्शन आर्किटेक्चर: जब एक ग्राहक समर्थन एजेंट "Maria Dupont, ऑर्डर FR-2024-8847, 12 rue de la Paix, पेरिस" वाली ग्राहक शिकायत को ChatGPT इनपुट फ़ील्ड में पेस्ट करता है, तो एक्सटेंशन पेस्ट इवेंट को इंटरसेप्ट करता है। सामग्री इनपुट फ़ील्ड में दिखाई देने से पहले, एक्सटेंशन नाम, ऑर्डर नंबर और पता का पता लगाता है। एजेंट एक पूर्वावलोकन देखता है। एजेंट आगे बढ़ने पर क्लिक करता है। ChatGPT एक अनामीकृत संस्करण प्राप्त करता है जिसमें कोई व्यक्तिगत डेटा नहीं होता - पहचानकर्ताओं के स्थान पर टोकन के साथ एक पूर्ण शिकायत विवरण।
ChatGPT अनामीकृत टोकनों का उपयोग करके एक प्रतिक्रिया ड्राफ्ट उत्पन्न करता है। एक्सटेंशन की ऑटो-डिक्रिप्ट सुविधा वास्तविक मानों को AI की प्रतिक्रिया में वापस प्रतिस्थापित करती है, ताकि एजेंट एक प्रतिक्रिया देख सके जो वास्तविक ग्राहक नाम का संदर्भ देती है - लेकिन ChatGPT ने कभी उस नाम को संसाधित नहीं किया।
इस आर्किटेक्चर के तहत, GDPR अनुच्छेद 46 डेटा ट्रांसफर प्रश्न उत्पन्न नहीं होता है: ChatGPT के सर्वरों पर स्थानांतरित डेटा अनामीकृत डेटा है जो GDPR की व्यक्तिगत डेटा की परिभाषा को पूरा नहीं करता है। ग्राहक का नाम, पता, और पहचान संबंधी जानकारी एजेंट के स्थानीय ब्राउज़र में EU के भीतर बनी रहती है। GDPR अनुपालन संरचनात्मक है न कि संविदात्मक।
स्रोत: